Seguridad y Divulgación Responsable

Tomamos la seguridad en serio. Si encontraste una vulnerabilidad en alguna app o propiedad web de KhassinX, agradecemos tu ayuda para divulgarla de manera responsable.

Reportar

Correo: [email protected]
Apuntador legible por máquina: /.well-known/security.txt (RFC 9116)

Alcance

• khassinx.com y todos los subdominios de KhassinX (asvab.khassinx.com, khazen.khassinx.com, etc.)
• Apps de iOS, iPadOS, macOS, watchOS y visionOS publicadas por KhassinX en la App Store de Apple

Fuera de alcance

• Servicios de terceros que usamos (App Store de Apple, Cloudflare, GitHub) — por favor reportalos directamente a ellos
• Ataques volumétricos (DDoS, fuerza bruta) — no son vulnerabilidades; contactá a Cloudflare
• Ingeniería social hacia personal o colaboradores de KhassinX
• Reportes generados únicamente por escáneres automáticos sin prueba reproducible de impacto

Tiempos de respuesta

• Acuse de recibo: dentro de 5 días hábiles
• Triaje inicial: dentro de 14 días
• Cronograma de divulgación coordinada: acordado caso por caso

Safe harbor

No iniciaremos acción legal contra investigadores que actúen de buena fe — investigando, reportando y respetando las reglas de alcance. Esto incluye a investigadores que solo accedan a los datos necesarios para demostrar el problema, que no extraigan datos de usuarios y que nos den un tiempo razonable para remediar antes de la divulgación pública.

Reconocimiento

Actualmente no ofrecemos bug bounty monetario. Sí ofrecemos:

• Reconocimiento público en esta página (Hall of Thanks)
• Crédito gratuito de por vida para la app KhassinX afectada
• Una carta formal de reconocimiento que puedes usar en tu portafolio